本申請涉及通信領(lǐng)域，尤其涉及一種檢測拒絕服務(wù)攻擊的方法及裝置。

背景技術(shù)：

拒絕服務(wù)(英文全稱：Distributed Denial of Service，簡稱：DOS)攻擊是指攻擊者向服務(wù)器發(fā)起大量的互聯(lián)網(wǎng)控制報(bào)文協(xié)議(英文全稱：Internet Control Message Protocol，簡稱：ICMP)、同步(英文全稱：synchronous，簡稱：SYN)信號、用戶數(shù)據(jù)報(bào)協(xié)議(英文全稱：User Datagram Protocol，簡稱：UDP)等連接請求，使得服務(wù)器忙于處理這些突增請求而無法正常響應(yīng)合法用戶請求，從而造成服務(wù)器癱瘓的攻擊手段。

更嚴(yán)重的，攻擊者可以非法侵入一些主機(jī)，將這些主機(jī)作為主控主機(jī)，攻擊者在主控主機(jī)上面安裝特定程序，使得主控主機(jī)可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到其他受感染的主機(jī)上，也就是說，攻擊者可以利用主控主機(jī)做跳板，控制大量受感染而被控制的主機(jī)組成攻擊網(wǎng)絡(luò)來對服務(wù)器進(jìn)行大規(guī)模的DOS攻擊。這種攻擊被稱為分布式拒絕服務(wù)(英文全稱：Distributed Denial of Service，簡稱：DDOS)攻擊，其往往能把單個(gè)攻擊者的攻擊效果進(jìn)行放大，從而對服務(wù)器造成重大影響，對網(wǎng)絡(luò)也會造成嚴(yán)重?fù)砣?/p>

現(xiàn)有技術(shù)通常是通過流量異常檢測技術(shù)或者發(fā)包頻率異常檢測技術(shù)，來確定服務(wù)器是否受到拒絕服務(wù)攻擊。具體地，設(shè)置服務(wù)器的流量閾值或者發(fā)包頻率閾值，當(dāng)檢測到服務(wù)器當(dāng)前流量大于流量閾值，或者檢測到當(dāng)前的發(fā)包頻率大于頻率閾值時(shí)，則認(rèn)為服務(wù)器收到了拒絕服務(wù)攻擊。但是，對于小流量下的拒絕服務(wù)攻擊，服務(wù)器的流量和發(fā)包頻率短期內(nèi)變化不是特別大，因此，流量異常檢測技術(shù)和發(fā)包頻率異常檢測技術(shù)不能準(zhǔn)確檢測出小流量下的拒絕服務(wù)攻 擊，容易出現(xiàn)漏報(bào)。另外，對于一些合法用戶的正常請求，例如，代理請求或網(wǎng)絡(luò)地址轉(zhuǎn)換(英文全稱：Network Address Translation，簡稱NAT)服務(wù)請求，也有可能在短時(shí)間內(nèi)流量和發(fā)包頻率很大，此時(shí)，流量異常檢測技術(shù)和發(fā)包頻率異常檢測技術(shù)容易出現(xiàn)誤報(bào)。由此可知，現(xiàn)有技術(shù)對拒絕服務(wù)攻擊的檢測不夠精確。

技術(shù)實(shí)現(xiàn)要素：

本申請的目的在于提供一種檢測拒絕服務(wù)攻擊的方法及裝置，用于解決現(xiàn)有技術(shù)對拒絕服務(wù)攻擊的檢測不夠精確的技術(shù)問題。

為了達(dá)到上述目的，本申請實(shí)施例采用如下的技術(shù)方案：

第一方面，提供一種檢測拒絕服務(wù)攻擊的方法，包括：

網(wǎng)關(guān)設(shè)備接收服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息；所述響應(yīng)消息用于對來自于客戶端的基于應(yīng)用層協(xié)議的資源訪問請求消息進(jìn)行響應(yīng)，所述資源訪問請求消息攜帶所述服務(wù)器提供的資源的統(tǒng)一資源定位符URL；

獲取所述響應(yīng)消息的特征信息；

根據(jù)所述特征信息確定所述服務(wù)器是否受到拒絕服務(wù)攻擊。

采用上述方案，網(wǎng)關(guān)設(shè)備基于應(yīng)用層服務(wù)質(zhì)量來確定服務(wù)器是否受到拒絕服務(wù)攻擊，值得說明的是，所述服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息的特征信息即可表明應(yīng)用層的服務(wù)質(zhì)量，例如，服務(wù)器對訪問同一URL的資源訪問請求消息的響應(yīng)時(shí)長，或者，在預(yù)設(shè)時(shí)間段內(nèi)，來自于所述服務(wù)器的請求失敗消息。由于服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，其應(yīng)用層的服務(wù)質(zhì)量必然發(fā)生變化，并且服務(wù)器受到的拒絕服務(wù)攻擊與應(yīng)用層的服務(wù)質(zhì)量之間的相關(guān)性，強(qiáng)于服務(wù)器受到的拒絕服務(wù)攻擊與傳輸層或網(wǎng)絡(luò)層的流量之間的相關(guān)性。因此，相對于現(xiàn)有技術(shù)基于傳輸層的流量檢測來確定服務(wù)器是否受到拒絕服務(wù)攻擊，本申請基于應(yīng)用層的服務(wù)質(zhì)量來確定服務(wù)器是否受到拒絕服務(wù)攻擊提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

在結(jié)合第一方面的第一種可能的實(shí)現(xiàn)方式中，所述特征信息為響應(yīng)時(shí)長；

所述獲取所述響應(yīng)報(bào)文的特征信息，包括：

確定在預(yù)設(shè)時(shí)間段內(nèi)，所述服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長并記錄；

所述根據(jù)所述特征信息確定所述服務(wù)器是否受到拒絕服務(wù)攻擊，包括：

確定所述預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目；

若所述數(shù)目不小于第一閾值，則確定所述服務(wù)器受到拒絕服務(wù)攻擊。

值的說明的是，服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，服務(wù)器針對發(fā)起攻擊的客戶端訪問URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長必然會快速增加。采用上述方案，網(wǎng)關(guān)設(shè)備在預(yù)設(shè)時(shí)間段內(nèi)，在確定響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目不小于第一閾值時(shí)，即可確定所述服務(wù)器受到拒絕服務(wù)攻擊。其中，所述第一時(shí)長閾值的初始設(shè)置是在確保服務(wù)器不會受到拒絕服務(wù)攻擊的場景下進(jìn)行的，所述第一閾值可以根據(jù)實(shí)際應(yīng)用預(yù)先進(jìn)行設(shè)置。這樣，相比現(xiàn)有技術(shù)通過檢測服務(wù)器總的流量或者發(fā)包速率判斷是否受到拒絕服務(wù)攻擊，由于服務(wù)器受到拒絕服務(wù)攻擊時(shí)，服務(wù)器的總流量或者發(fā)包速率不一定快速增加，因此，上述方案提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

結(jié)合第一方面或者第一方面的第一種可能的實(shí)現(xiàn)方式，在第一方面的第二種可能的實(shí)現(xiàn)方式中，所述確定在預(yù)設(shè)時(shí)間段內(nèi)，所述服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長，包括：

在所述預(yù)設(shè)時(shí)間段內(nèi)，針對訪問同一個(gè)URL的每條資源訪問請求消息，執(zhí)行：

記錄接收到所述資源訪問請求消息的第一時(shí)刻，并將所述資源訪問請求消息發(fā)送至所述服務(wù)器；

記錄接收到所述服務(wù)器用于對所述資源訪問請求消息進(jìn)行響應(yīng)而發(fā)送的響 應(yīng)消息的第二時(shí)刻；

根據(jù)所述第一時(shí)刻以及所述第二時(shí)刻，確定所述服務(wù)器對所述資源訪問請求消息的響應(yīng)時(shí)長。

上述方案提供了網(wǎng)關(guān)設(shè)備確定響應(yīng)時(shí)長的一種實(shí)現(xiàn)方式，具體是由所述網(wǎng)關(guān)設(shè)備自身記錄所述第一時(shí)刻以及所述第二時(shí)刻并通過計(jì)算確定所述響應(yīng)時(shí)長?？蛇x地，在另一種實(shí)現(xiàn)方式中，服務(wù)器記錄接收到資源訪問請求消息的時(shí)刻，并在對所述資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)消息中攜帶所述服務(wù)器接收到所述資源訪問請求消息的時(shí)刻，以及發(fā)送所述響應(yīng)消息的時(shí)刻，這樣，網(wǎng)關(guān)設(shè)備在接收到所述響應(yīng)消息后，也可以根據(jù)所述服務(wù)器接收到所述資源訪問請求消息的時(shí)刻，以及發(fā)送所述響應(yīng)消息的時(shí)刻計(jì)算得到響應(yīng)時(shí)長。

結(jié)合第一方面至第一方面的第二種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第一方面的第三種可能的實(shí)現(xiàn)方式中，所述預(yù)設(shè)時(shí)間段包括順序連接且互不重合的至少兩個(gè)子時(shí)間段；

所述確定在預(yù)設(shè)時(shí)間段內(nèi)，服務(wù)器對訪問同一個(gè)URL的每條資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長并記錄，還包括：

針對訪問同一個(gè)URL的每條資源訪問請求消息，所述網(wǎng)關(guān)設(shè)備記錄接收到所述資源訪問請求消息的時(shí)刻與所述服務(wù)器對所述資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長的對應(yīng)關(guān)系；

所述確定所述預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目，包括：

針對所述預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

從預(yù)先存儲的子時(shí)間段與第二時(shí)長閾值的對應(yīng)關(guān)系中，查找到所述子時(shí)間段對應(yīng)的第二時(shí)長閾值；

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，確定在所述子時(shí)間段內(nèi)接收到的所有資源訪問請求消息中，響應(yīng)時(shí)長超過所述第二時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目；

將響應(yīng)時(shí)長超過各子時(shí)間段對應(yīng)的第二時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目進(jìn)行求和，將求和的結(jié)果作為所述預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)時(shí)長超過所述第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目。

上述方案表明了不同的子時(shí)間段對應(yīng)的第二時(shí)長閾值可以不同。下面舉例說明上述方案能夠達(dá)到的技術(shù)效果：若服務(wù)器在未受到拒絕服務(wù)攻擊的情況下，客戶端在早上9:00～10:00，10:00～11:00，11:00～12:00三個(gè)時(shí)間段，向服務(wù)器發(fā)送訪問同一個(gè)URL的資源訪問請求消息的頻率是依次上升的。在此種情況下，初始設(shè)置的預(yù)設(shè)時(shí)間段可以是9:00～12:00，其包括9:00～10:00，10:00～11:00，11:00～12:00三個(gè)子時(shí)間段，并且子時(shí)間段9:00～10:00對應(yīng)的第二時(shí)長閾值小于子時(shí)間段10:00～11:00對應(yīng)的第二時(shí)長閾值，子時(shí)間段10:00～11:00對應(yīng)的第二時(shí)長閾值小于子時(shí)間段11:00～12:00對應(yīng)的第二時(shí)長閾值。相比在三個(gè)子時(shí)間段設(shè)置相等的第二時(shí)長閾值，上述方案基于不同子時(shí)間段客戶端對同一個(gè)URL的不同訪問情況，分別設(shè)置對應(yīng)每個(gè)子時(shí)間段的第二時(shí)長閾值，更能準(zhǔn)確反映客戶端訪問URL的情況。

結(jié)合第一方面至第一方面的第三種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第一方面的第四種可能的實(shí)現(xiàn)方式中，還包括：

若所述數(shù)目小于所述第一閾值，針對所述預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，計(jì)算所述子時(shí)間段內(nèi)接收到的所有資源訪問請求消息的響應(yīng)時(shí)長的平均值；

根據(jù)所述平均值調(diào)整所述子時(shí)間段對應(yīng)的第二時(shí)長閾值。

也就是說，在所述數(shù)目小于所述第一閾值時(shí)，所述網(wǎng)關(guān)設(shè)備即認(rèn)為所述服務(wù)器未受到拒絕服務(wù)攻擊，此時(shí)，所述網(wǎng)關(guān)設(shè)備可以利用在所述預(yù)設(shè)時(shí)間段內(nèi)的響應(yīng)時(shí)長，調(diào)整所述第一時(shí)長閾值，即所述第一時(shí)長閾值在被初始設(shè)置后，并非保持不變，而是在對拒絕服務(wù)攻擊進(jìn)行檢測的過程中被動態(tài)調(diào)整的，從而使得所述第一時(shí)長閾值設(shè)置更合理。

結(jié)合第一方面至第一方面的第四種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第一方面的第五種可能的實(shí)現(xiàn)方式中，所述響應(yīng)消息是來自于所述服務(wù)器的請求失敗消息，所述特征信息為預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)消息的數(shù)目；

所述獲取所述響應(yīng)消息的特征信息，包括：

在所述預(yù)設(shè)時(shí)間段內(nèi)，計(jì)算接收到來自于所述服務(wù)器的請求失敗消息的數(shù)目；

所述根據(jù)所述特征信息確定所述服務(wù)器是否受到拒絕服務(wù)攻擊，包括：

若所述數(shù)目不小于第二閾值，則確定所述服務(wù)器受到拒絕服務(wù)攻擊。

值的說明的是，服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，所述服務(wù)器忙于處理這些突增請求而無法正常響應(yīng)合法用戶發(fā)送的資源訪問請求消息，在此種情況下，服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的請求失敗消息必然會快速增加，相比現(xiàn)有技術(shù)通過檢測服務(wù)器總的流量或者發(fā)包速率判斷是否受到拒絕服務(wù)攻擊，由于服務(wù)器受到拒絕服務(wù)攻擊時(shí)，服務(wù)器的總流量或者發(fā)包速率不一定快速增加，因此，上述方案提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

在本申請一種可能的實(shí)施例中，網(wǎng)關(guān)設(shè)備在確定所述服務(wù)器受到拒絕服務(wù)攻擊后，向所述服務(wù)器發(fā)送關(guān)閉服務(wù)消息，所述關(guān)閉服務(wù)消息用于指示所述服務(wù)器關(guān)閉與客戶端的連接。避免了所述服務(wù)器繼續(xù)受到拒絕服務(wù)攻擊。

進(jìn)一步地，所述網(wǎng)關(guān)設(shè)備接收客戶端發(fā)送的資源訪問請求消息，所述資源訪問請求消息包括所述客戶端的標(biāo)識，所述網(wǎng)關(guān)設(shè)備根據(jù)所述客戶端的標(biāo)識，在確定所述客戶端不是白名單內(nèi)的客戶端時(shí)，向所述客戶端發(fā)送驗(yàn)證指示消息；所述網(wǎng)關(guān)設(shè)備接收所述客戶端根據(jù)所述驗(yàn)證指示消息發(fā)送的驗(yàn)證請求消息，并在驗(yàn)證通過后，將所述客戶端加入所述白名單。

值得說明的是，服務(wù)器在收到網(wǎng)關(guān)設(shè)備發(fā)送的關(guān)閉服務(wù)消息后，可以將原URL對應(yīng)的資源轉(zhuǎn)移到另一個(gè)URL，因此，進(jìn)一步地，所述網(wǎng)關(guān)設(shè)備在將所述客戶端加入所述白名單后，向所述客戶端發(fā)送重定向報(bào)文，所述重定向報(bào)文包括所述另一個(gè)URL，所述網(wǎng)關(guān)設(shè)備在接收到客戶端發(fā)送的攜帶所述另一個(gè)URL 的資源訪問請求消息后，若確定所述客戶端為所述白名單內(nèi)的客戶端，則將所述資源訪問請求消息發(fā)送至所述服務(wù)器。

這樣，所述網(wǎng)關(guān)設(shè)備在確定服務(wù)器受到拒絕服務(wù)攻擊后，對請求訪問服務(wù)器的客戶端進(jìn)行驗(yàn)證，并只將通過驗(yàn)證的處于白名單內(nèi)的客戶端發(fā)送的資源訪問請求消息發(fā)送至服務(wù)器，避免了未通過驗(yàn)證的客戶端對服務(wù)器可能進(jìn)行的拒絕服務(wù)攻擊。

第二方面，提供一種網(wǎng)關(guān)設(shè)備，包括：

接收單元，用于接收服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息；所述響應(yīng)消息用于對來自客戶端的基于應(yīng)用層協(xié)議的資源訪問請求消息進(jìn)行響應(yīng)，所述資源訪問請求消息攜帶所述服務(wù)器提供的資源的統(tǒng)一資源定位符URL；

獲取單元，用于獲取所述接收單元接收到的所述響應(yīng)消息的特征信息；

確定單元，用于根據(jù)所述獲取單元獲取到的所述特征信息確定所述服務(wù)器是否受到拒絕服務(wù)攻擊。

在結(jié)合第二方面的第一種可能的實(shí)現(xiàn)方式中，所述特征信息為響應(yīng)時(shí)長；

所述獲取單元具體用于，確定在預(yù)設(shè)時(shí)間段內(nèi)，所述服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長并記錄；

所述確定單元具體用于，確定所述預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目，并在所述數(shù)目不小于第一閾值時(shí)，確定所述服務(wù)器受到拒絕服務(wù)攻擊。

結(jié)合第二方面或者第二方面的第一種可能的實(shí)現(xiàn)方式，在第二方面的第二種可能的實(shí)現(xiàn)方式中，所述獲取單元具體用于，在所述預(yù)設(shè)時(shí)間段內(nèi)，針對訪問同一個(gè)URL的每條資源訪問請求消息，執(zhí)行：

記錄接收到所述資源訪問請求消息的第一時(shí)刻，并將所述資源訪問請求消息發(fā)送至所述服務(wù)器；

記錄接收到所述服務(wù)器用于對所述資源訪問請求消息進(jìn)行響應(yīng)而發(fā)送的響應(yīng)消息的第二時(shí)刻；

根據(jù)所述第一時(shí)刻以及所述第二時(shí)刻，確定所述服務(wù)器對所述資源訪問請求消息的響應(yīng)時(shí)長。

結(jié)合第二方面至第二方面的第二種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第二方面的第三種可能的實(shí)現(xiàn)方式中，所述預(yù)設(shè)時(shí)間段包括順序連接且互不重合的至少兩個(gè)子時(shí)間段；

所述獲取單元具體用于，針對訪問同一個(gè)URL的每條資源訪問請求消息，所述網(wǎng)關(guān)設(shè)備記錄接收到所述資源訪問請求消息的時(shí)刻與所述服務(wù)器對所述資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長的對應(yīng)關(guān)系；

所述確定單元具體用于，針對所述預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

從預(yù)先存儲的子時(shí)間段與第二時(shí)長閾值的對應(yīng)關(guān)系中，查找到所述子時(shí)間段對應(yīng)的第二時(shí)長閾值；

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，確定在所述子時(shí)間段內(nèi)接收到的所有資源訪問請求消息中，響應(yīng)時(shí)長超過所述第二時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目；

所述確定單元還用于，將響應(yīng)時(shí)長超過各子時(shí)間段對應(yīng)的第二時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目進(jìn)行求和，將求和的結(jié)果作為所述預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)時(shí)長超過所述第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目。

結(jié)合第二方面至第二方面的第三種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第二方面的第四種可能的實(shí)現(xiàn)方式中，所述網(wǎng)關(guān)設(shè)備還包括調(diào)整單元，用于在所述數(shù)目小于所述第一閾值時(shí)，針對所述預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，計(jì)算所述子時(shí)間段內(nèi)接收到的所有資源訪問請求消息的響應(yīng)時(shí)長的平均值；

根據(jù)所述平均值調(diào)整所述子時(shí)間段對應(yīng)的第二時(shí)長閾值。

結(jié)合第二方面至第二方面的第四種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第二方面的第五種可能的實(shí)現(xiàn)方式中，所述響應(yīng)消息是來自于所述服務(wù)器的請求失敗消息，所述特征信息為預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)消息的數(shù)目；

所述獲取單元具體用于，在所述預(yù)設(shè)時(shí)間段內(nèi)，計(jì)算接收到來自于所述服務(wù)器的請求失敗消息的數(shù)目；

所述確定單元具體用于，在所述數(shù)目不小于第二閾值時(shí)，確定所述服務(wù)器受到拒絕服務(wù)攻擊。

以上對網(wǎng)關(guān)設(shè)備的單元?jiǎng)澐?，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，并且，各單元具體的物理實(shí)現(xiàn)方式本申請不作限定，例如，在具體實(shí)施過程中，所述接收單元可以是一接收機(jī)，所述獲取單元可以是一運(yùn)算器，所述確定單元可以是中央處理器，本領(lǐng)域的技術(shù)人員通過合理的分析推理能夠想到的其他實(shí)現(xiàn)方式也屬于本申請的保護(hù)范圍之內(nèi)。

第三方面，提供另一種網(wǎng)關(guān)設(shè)備，包括：處理器，存儲器，發(fā)射機(jī)，接收機(jī)和通信總線；其中，所述處理器，所述存儲器，所述發(fā)射機(jī)和所述接收機(jī)通過所述通信總線完成相互間的通信；

所述存儲器用于，存儲程序代碼；

所述處理器調(diào)用所述存儲器存儲的所述程序代碼用于：

接收服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息；所述響應(yīng)消息用于對來自于客戶端的基于應(yīng)用層協(xié)議的資源訪問請求消息進(jìn)行響應(yīng)，所述資源訪問請求消息攜帶所述服務(wù)器提供的資源的統(tǒng)一資源定位符URL；

獲取所述響應(yīng)消息的特征信息；

根據(jù)所述特征信息確定所述服務(wù)器是否受到拒絕服務(wù)攻擊。

在結(jié)合第三方面的第一種可能的實(shí)現(xiàn)方式中，所述特征信息為響應(yīng)時(shí)長；所述處理器調(diào)用所述存儲器存儲的所述程序代碼還用于：

確定在預(yù)設(shè)時(shí)間段內(nèi)，所述服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長并記錄；

確定所述預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目；

若所述數(shù)目不小于第一閾值，則確定所述服務(wù)器受到拒絕服務(wù)攻擊。

結(jié)合第三方面或者第三方面的第一種可能的實(shí)現(xiàn)方式，在第三方面的第二種可能的實(shí)現(xiàn)方式中，所述處理器調(diào)用所述存儲器存儲的所述程序代碼還用于：

在所述預(yù)設(shè)時(shí)間段內(nèi)，針對訪問同一個(gè)URL的每條資源訪問請求消息，執(zhí)行：

記錄接收到所述資源訪問請求消息的第一時(shí)刻，并將所述資源訪問請求消息發(fā)送至所述服務(wù)器；

記錄接收到所述服務(wù)器用于對所述資源訪問請求消息進(jìn)行響應(yīng)而發(fā)送的響應(yīng)消息的第二時(shí)刻；

根據(jù)所述第一時(shí)刻以及所述第二時(shí)刻，確定所述服務(wù)器對所述資源訪問請求消息的響應(yīng)時(shí)長。

結(jié)合第三方面至第三方面的第二種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第三方面的第三種可能的實(shí)現(xiàn)方式中，所述預(yù)設(shè)時(shí)間段包括順序連接且互不重合的至少兩個(gè)子時(shí)間段；所述處理器調(diào)用所述存儲器存儲的所述程序代碼還用于：

針對訪問同一個(gè)URL的每條資源訪問請求消息，所述網(wǎng)關(guān)設(shè)備記錄接收到所述資源訪問請求消息的時(shí)刻與所述服務(wù)器對所述資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長的對應(yīng)關(guān)系；

針對所述預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

從預(yù)先存儲的子時(shí)間段與第二時(shí)長閾值的對應(yīng)關(guān)系中，查找到所述子時(shí)間段對應(yīng)的第二時(shí)長閾值；

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，確定在所述子時(shí)間段內(nèi)接收到的所有資源訪問請求消息中，響應(yīng)時(shí)長超過 所述第二時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目；

將響應(yīng)時(shí)長超過各子時(shí)間段對應(yīng)的第二時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目進(jìn)行求和，將求和的結(jié)果作為所述預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)時(shí)長超過所述第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目。

結(jié)合第三方面至第三方面的第三種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第三方面的第四種可能的實(shí)現(xiàn)方式中，所述處理器調(diào)用所述存儲器存儲的所述程序代碼還用于：

若所述數(shù)目小于所述第一閾值，針對所述預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，計(jì)算所述子時(shí)間段內(nèi)接收到的所有資源訪問請求消息的響應(yīng)時(shí)長的平均值；

根據(jù)所述平均值調(diào)整所述子時(shí)間段對應(yīng)的第二時(shí)長閾值。

結(jié)合第三方面至第三方面的第二種可能的實(shí)現(xiàn)方式中的任一種可能的實(shí)現(xiàn)方式，在第三方面的第三種可能的實(shí)現(xiàn)方式中，所述響應(yīng)消息是來自于所述服務(wù)器的請求失敗消息，所述特征信息為預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)消息的數(shù)目；所述處理器調(diào)用所述存儲器存儲的所述程序代碼還用于：

在所述預(yù)設(shè)時(shí)間段內(nèi)，計(jì)算接收到來自于所述服務(wù)器的請求失敗消息的數(shù)目；

若所述數(shù)目不小于第二閾值，則確定所述服務(wù)器受到拒絕服務(wù)攻擊。

附圖說明

為了更清楚地說明本申請實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本申請的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本申請實(shí)施例提供的一種網(wǎng)絡(luò)系統(tǒng)架構(gòu)的示意圖；

圖2為圖1所示網(wǎng)絡(luò)系統(tǒng)架構(gòu)圖受到拒絕服務(wù)攻擊的示意圖；

圖3為本申請實(shí)施例提供的一種檢測拒絕服務(wù)攻擊的方法的一個(gè)示例；

圖4為本申請實(shí)施例提供的客戶端訪問服務(wù)器的信息交互示意圖；

圖5為本申請實(shí)施例提供的一種設(shè)置第一時(shí)長閾值的方法的流程示意圖；

圖6為本申請實(shí)施例提供的第一時(shí)長閾值的示意圖；

圖7為基于圖6所示的第一時(shí)長閾值進(jìn)行拒絕服務(wù)攻擊檢測的一個(gè)示例；

圖8為本申請實(shí)施例提供的一種檢測拒絕服務(wù)攻擊的方法的又一個(gè)示例；

圖9為本申請實(shí)施例提供的一種網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)示意圖；

圖10為本申請實(shí)施例提供的另一種網(wǎng)關(guān)設(shè)備的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本申請實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本申請實(shí)施例中的附圖，對本申請實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本申請一部分實(shí)施例，而不是全部的實(shí)施例?；诒旧暾堉械膶?shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本申請保護(hù)的范圍。

首先，本申請以下實(shí)施例均可應(yīng)用于客戶端通過網(wǎng)關(guān)設(shè)備訪問服務(wù)器的網(wǎng)絡(luò)系統(tǒng)架構(gòu)。其中，該客戶端可以是筆記本電腦，平板電腦，智能手機(jī)等終端設(shè)備，該服務(wù)器可以是網(wǎng)站(英文全稱：Web)服務(wù)器，文件傳輸協(xié)議(英文全稱：File Transfer Protocol，簡稱FTP)服務(wù)器等提供網(wǎng)絡(luò)服務(wù)的服務(wù)器。并且，針對服務(wù)器的不同類型，該網(wǎng)關(guān)設(shè)備與之配套。例如，如圖1所示，該網(wǎng)絡(luò)系統(tǒng)架構(gòu)中的客戶端具體包括筆記本電腦11，平板電腦12，臺式電腦13，智能手機(jī)14，該網(wǎng)絡(luò)系統(tǒng)架構(gòu)還包括Web服務(wù)器16，以及與該Web服務(wù)器配套的網(wǎng)關(guān)設(shè)備15。其中，任一客戶端可以向網(wǎng)關(guān)設(shè)備發(fā)送資源訪問請求消息，該資源訪問請求消息攜帶統(tǒng)一資源定位符(英文全稱：Uniform Resoure Locator，簡稱：URL)，由網(wǎng)關(guān)設(shè)備將該資源訪問請求消息發(fā)送至服務(wù)器，實(shí)現(xiàn)客戶端對該服務(wù) 器提供的資源的訪問。

本申請實(shí)施例提供一種檢測拒絕服務(wù)攻擊的方法，能夠提高對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。為了使本領(lǐng)域的技術(shù)人員能夠更容易理解本方案達(dá)到的技術(shù)效果，下面首先對分布式的拒絕服務(wù)攻擊進(jìn)行簡單介紹：

圖2示出了如圖1所示的網(wǎng)絡(luò)系統(tǒng)架構(gòu)在受到分布式拒絕服務(wù)攻擊的示意圖。其中，圖2示出的攻擊者可以通過主控主機(jī)，控制筆記本電腦11，平板電腦12，臺式電腦13，智能手機(jī)14作為攻擊傀儡機(jī)，向服務(wù)器16發(fā)送大量請求消息，塞滿該服務(wù)器16的接收請求消息的緩沖區(qū)，致使該服務(wù)器16無法接收正?？蛻舳税l(fā)送的請求消息，從而無法提供正常服務(wù)。

本申請實(shí)施例提供的一種檢測拒絕服務(wù)攻擊的方法的一個(gè)示例如圖3所示，該方法包括：

S301、網(wǎng)關(guān)設(shè)備接收服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息。

其中，該響應(yīng)消息用于對來自于客戶端的基于應(yīng)用層協(xié)議的資源訪問請求消息進(jìn)行響應(yīng)，該資源訪問請求消息攜帶該服務(wù)器提供的資源的統(tǒng)一資源定位符URL。

S302、該網(wǎng)關(guān)設(shè)備獲取該響應(yīng)消息的特征信息。

S303、該網(wǎng)關(guān)設(shè)備根據(jù)該特征信息確定該服務(wù)器是否受到拒絕服務(wù)攻擊。

采用上述方案，網(wǎng)關(guān)設(shè)備基于應(yīng)用層服務(wù)質(zhì)量來確定服務(wù)器是否受到拒絕服務(wù)攻擊，值得說明的是，所述服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息的特征信息即可表明應(yīng)用層的服務(wù)質(zhì)量，例如，該特征信息可以是服務(wù)器對訪問同一URL的資源訪問請求消息的響應(yīng)時(shí)長，也可以是在預(yù)設(shè)時(shí)間段內(nèi)，來自于所述服務(wù)器的請求失敗消息的數(shù)目。由于服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，其應(yīng)用層的服務(wù)質(zhì)量必然發(fā)生變化，并且服務(wù)器受到的拒絕服務(wù)攻擊與應(yīng)用層的服務(wù)質(zhì)量之間的相關(guān)性，強(qiáng)于服務(wù)器受到的拒絕服務(wù)攻擊與傳輸層或網(wǎng)絡(luò)層的流量之間的相關(guān)性。因此，相對于現(xiàn)有技術(shù)基于傳輸層的流量檢測來確定服務(wù)器是否受到拒絕服務(wù)攻擊，本申請基于應(yīng)用層的服務(wù)質(zhì)量來確定服務(wù)器是否受到拒 絕服務(wù)攻擊提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

下面以上述特征信息為服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長為例，對本申請實(shí)施例提供的一種檢測拒絕服務(wù)攻擊的方法進(jìn)行詳細(xì)說明。

具體地，網(wǎng)關(guān)設(shè)備確定在預(yù)設(shè)時(shí)間段內(nèi)，服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長并記錄，進(jìn)一步地，網(wǎng)關(guān)設(shè)備確定該預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目，若所述數(shù)目不小于第一閾值，則確定該服務(wù)器受到拒絕服務(wù)攻擊。

其中，訪問同一個(gè)URL的資源訪問請求消息可以來自于不同的客戶端。

值的說明的是，上述基于應(yīng)用層協(xié)議的資源訪問請求消息可以是超文本傳輸協(xié)議(英文全稱：Hyper Text Transfer Protocol，簡稱：HTTP)Get消息，基于應(yīng)用層協(xié)議的響應(yīng)消息可以是200OK，用于表示服務(wù)器成功返回資源。如圖4所示，對于客戶端1至客戶端N等多個(gè)客戶端，N是大于1的正整數(shù)，每個(gè)客戶端可以通過網(wǎng)關(guān)設(shè)備向服務(wù)器發(fā)送HTTP Get消息，服務(wù)器向客戶端發(fā)送對該HTTP Get消息進(jìn)行響應(yīng)的200OK。

這樣，由于服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，服務(wù)器針對發(fā)起攻擊的客戶端訪問URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長必然會快速增加，這樣，由于服務(wù)器受到拒絕服務(wù)攻擊時(shí)，服務(wù)器的總流量或者發(fā)包速率不一定快速增加，因此，相比現(xiàn)有技術(shù)通過檢測服務(wù)器總的流量或者發(fā)包速率判斷是否受到拒絕服務(wù)攻擊，上述方案提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

示例地，該網(wǎng)關(guān)設(shè)備初始設(shè)置第一時(shí)長閾值的方法如圖5所示，包括：

S501、網(wǎng)關(guān)設(shè)備接收客戶端發(fā)送的攜帶URL的HTTP Get消息，并記錄接收到該HTTP Get消息的第一時(shí)刻。

S502、該網(wǎng)關(guān)設(shè)備將該HTTP Get請求消息發(fā)送至服務(wù)器。

S503、該網(wǎng)關(guān)設(shè)備接收該服務(wù)器發(fā)送的用于對該HTTP Get消息進(jìn)行響應(yīng)的200OK，并記錄接收到該200OK的第二時(shí)刻。

S504、該網(wǎng)關(guān)設(shè)備將該第一時(shí)刻以及該第二時(shí)刻之間的時(shí)長差值作為客戶端本次訪問該URL的響應(yīng)時(shí)長。

S505、該網(wǎng)關(guān)設(shè)備確定預(yù)設(shè)時(shí)間段內(nèi)，客戶端每次訪問該URL的響應(yīng)時(shí)長。

具體地，該網(wǎng)關(guān)設(shè)備在該預(yù)設(shè)時(shí)間段內(nèi)重復(fù)執(zhí)行上述步驟S501至步驟S504，即可得到每次訪問該URL的響應(yīng)時(shí)長。

S506、該網(wǎng)關(guān)設(shè)備將該預(yù)設(shè)時(shí)間段劃分為順序連接且互不重合的至少兩個(gè)子時(shí)間段，并針對每個(gè)子時(shí)間段執(zhí)行步驟S507。

需要說明的是，每個(gè)時(shí)間段的時(shí)長可能相同，也可能不同，本申請對此不做限定。

S507、該網(wǎng)關(guān)設(shè)備計(jì)算子時(shí)間段內(nèi)，服務(wù)器對所有訪問該URL的HTTP Get消息的響應(yīng)時(shí)長的平均值，并將該平均值作為對應(yīng)該子時(shí)間段的第二時(shí)長閾值。

示例地，若該預(yù)設(shè)時(shí)間段包括m個(gè)子時(shí)間段，m為大于1的正整數(shù)，這樣，該網(wǎng)關(guān)設(shè)備可以在第一個(gè)子時(shí)間段內(nèi)記錄客戶端每次訪問該URL的響應(yīng)時(shí)長，并計(jì)算每次訪問的響應(yīng)時(shí)長的平均值，例如，在第一個(gè)子時(shí)間段內(nèi)，客戶端訪問該URL共n次，n是大于0的正整數(shù)，每次訪問該URL的響應(yīng)時(shí)長分別為t₁，t₂，t₃……t_n，則在第一個(gè)子時(shí)間段內(nèi)，訪問該URL的響應(yīng)時(shí)長的平均值即為(t₁+t₂+t₃+……+t_n)/n，則該平均值即為對應(yīng)第一子時(shí)間段內(nèi)的第二時(shí)長閾值，以此類推，可得到該預(yù)設(shè)時(shí)間段包括的每個(gè)子時(shí)間段對應(yīng)的第二時(shí)長閾值。

可選地，步驟S507中，該網(wǎng)關(guān)設(shè)備還可以對每個(gè)子時(shí)間段的響應(yīng)時(shí)長的平均值乘以一個(gè)系數(shù)作為對應(yīng)該子時(shí)間段的第二時(shí)長閾值，其中，該系數(shù)的具體取值可以根據(jù)實(shí)際實(shí)施時(shí)的網(wǎng)絡(luò)時(shí)延進(jìn)行設(shè)置，以避免了網(wǎng)絡(luò)時(shí)延引起的響應(yīng)時(shí)長增加導(dǎo)致的誤報(bào)。

值得說明的是，該網(wǎng)關(guān)設(shè)備可以在確保服務(wù)器不會受到拒絕服務(wù)攻擊的場景下運(yùn)行第一時(shí)長閾值的學(xué)習(xí)流程，即上述步驟S501至步驟S507。例如，用戶可以在確定當(dāng)前網(wǎng)絡(luò)中不存在拒絕服務(wù)攻擊的情況下，在網(wǎng)絡(luò)中初始啟動該網(wǎng)關(guān)設(shè)備，并在該網(wǎng)關(guān)設(shè)備運(yùn)行上述學(xué)習(xí)流程時(shí)，進(jìn)行實(shí)時(shí)監(jiān)控，確保該網(wǎng)關(guān)設(shè) 備在初始設(shè)置該第一時(shí)長閾值期間未受到拒絕服務(wù)攻擊。

上述方案表明了不同的子時(shí)間段對應(yīng)的第二時(shí)長閾值可以不同。下面舉例說明上述方案能夠達(dá)到的技術(shù)效果：若服務(wù)器在未受到拒絕服務(wù)攻擊的情況下，客戶端在早上9:00～10:00，10:00～11:00，11:00～12:00三個(gè)時(shí)間段，向服務(wù)器發(fā)送訪問同一個(gè)URL的資源訪問請求消息的頻率是依次上升的。在此種情況下，初始設(shè)置的預(yù)設(shè)時(shí)間段可以是9:00～12:00，其包括9:00～10:00，10:00～11:00，11:00～12:00三個(gè)子時(shí)間段，并且子時(shí)間段9:00～10:00對應(yīng)的第二時(shí)長閾值小于子時(shí)間段10:00～11:00對應(yīng)的第二時(shí)長閾值，子時(shí)間段10:00～11:00對應(yīng)的第二時(shí)長閾值小于子時(shí)間段11:00～12:00對應(yīng)的第二時(shí)長閾值。相比在三個(gè)子時(shí)間段設(shè)置相等的第二時(shí)長閾值，上述方案基于不同子時(shí)間段客戶端對同一個(gè)URL的不同訪問情況，分別設(shè)置對應(yīng)每個(gè)子時(shí)間段的第二時(shí)長閾值，更能準(zhǔn)確反映客戶端訪問URL的情況。

上述僅是本申請實(shí)施例的一種優(yōu)選的實(shí)現(xiàn)方式，在具體實(shí)施過程中，網(wǎng)關(guān)設(shè)備也可以對該預(yù)設(shè)時(shí)間段內(nèi)的所有響應(yīng)時(shí)長計(jì)算平均值，并將該平均值作為該第一時(shí)長閾值。本申請對此不做限定。

示例地，通過圖5所示方法得到的第一時(shí)長閾值如圖6所示，參照圖6，預(yù)設(shè)時(shí)間段包括順序連接且互不重合的子時(shí)間段1至子時(shí)間段5，該時(shí)長基線包括子時(shí)間段1對應(yīng)的第二時(shí)長閾值T1，子時(shí)間段2對應(yīng)的第二時(shí)長閾值T2，子時(shí)間段3對應(yīng)的第二時(shí)長閾值T3，子時(shí)間段4對應(yīng)的第二時(shí)長閾值T4，子時(shí)間段5對應(yīng)的第二時(shí)長閾值T5。

進(jìn)一步地，基于圖6所示的第一時(shí)長閾值，該網(wǎng)關(guān)設(shè)備在該預(yù)設(shè)時(shí)間段內(nèi)進(jìn)行拒絕服務(wù)攻擊檢測的方法如圖7所示，該方法包括：

S701、網(wǎng)關(guān)設(shè)備在預(yù)設(shè)時(shí)間段內(nèi)，確定客戶端第一次訪問URL的響應(yīng)時(shí)長。

具體地，網(wǎng)關(guān)設(shè)備計(jì)算響應(yīng)時(shí)長的方式可以參照圖5所示的步驟S501至步驟S504，此處不再贅述。

S702、該網(wǎng)關(guān)設(shè)備確定該響應(yīng)時(shí)長是否大于當(dāng)前時(shí)刻所處的子時(shí)間段對應(yīng) 的第二時(shí)長閾值。

示例地，如圖6所示，若該網(wǎng)關(guān)設(shè)備接收到客戶端第一次發(fā)送的訪問該URL的資源訪問請求消息是在子時(shí)間段1內(nèi)，則該網(wǎng)關(guān)設(shè)備在確定本次訪問的響應(yīng)時(shí)長tt后，將該響應(yīng)時(shí)長tt與該子時(shí)間段1對應(yīng)的第二時(shí)長閾值T1進(jìn)行數(shù)值比較，確定該響應(yīng)時(shí)長tt是否大于T1。

值的說明的是，上述步驟S702中該的當(dāng)前時(shí)刻是網(wǎng)關(guān)設(shè)備計(jì)算獲得響應(yīng)時(shí)長的時(shí)刻。在另一種可能的實(shí)現(xiàn)方式中，該網(wǎng)關(guān)設(shè)備可以針對訪問同一個(gè)URL的每條資源訪問請求消息，記錄接收到該資源訪問請求消息的時(shí)刻與該服務(wù)器對該資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長的對應(yīng)關(guān)系。這樣，該網(wǎng)關(guān)設(shè)備在計(jì)算得到響應(yīng)時(shí)長后，根據(jù)該對應(yīng)關(guān)系確定該響應(yīng)時(shí)長對應(yīng)的該網(wǎng)關(guān)設(shè)備記錄的接收到資源訪問請求消息的時(shí)刻，并從預(yù)先存儲的子時(shí)間段與第二時(shí)長閾值的對應(yīng)關(guān)系中確定該網(wǎng)關(guān)設(shè)備記錄的接收到該資源訪問請求消息的時(shí)刻所處子時(shí)間段對應(yīng)的第二時(shí)長閾值，并將該響應(yīng)時(shí)長與該第二時(shí)長閾值進(jìn)行數(shù)值比較，確定該響應(yīng)時(shí)長是否大于該第二時(shí)長閾值。

S703、該網(wǎng)關(guān)設(shè)備將響應(yīng)時(shí)長超過各子時(shí)間段對應(yīng)的第二時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目進(jìn)行求和，將求和的結(jié)果作為在該預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)時(shí)長超過該第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目。

可選地，在該預(yù)設(shè)時(shí)間段內(nèi)，該網(wǎng)關(guān)設(shè)備每次接收到客戶端發(fā)送的訪問該URL的資源訪問請求消息時(shí)，均執(zhí)行上述步驟S701和步驟S702，并在每次響應(yīng)時(shí)長超過所處子時(shí)間段對應(yīng)的第二時(shí)長閾值時(shí)，對該網(wǎng)關(guān)設(shè)備記錄的響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目加一，直到該預(yù)設(shè)時(shí)間段結(jié)束，得到在該預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過該第一時(shí)長閾值的訪問同一URL的資源訪問請求消息的總的數(shù)目。

S704、若該數(shù)目不小于預(yù)設(shè)的第一閾值，則確定該服務(wù)器受到拒絕服務(wù)攻擊。

其中，該第一閾值可以根據(jù)實(shí)際實(shí)施的情況預(yù)先進(jìn)行設(shè)置。

S705、若該數(shù)目小于該第一閾值，則針對該預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行步驟S706至步驟S707。

S706、該網(wǎng)關(guān)設(shè)備根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，計(jì)算該子時(shí)間段內(nèi)接收到的所有資源訪問請求消息的響應(yīng)時(shí)長的平均值。

S707、該網(wǎng)關(guān)設(shè)備根據(jù)該平均值調(diào)整該子時(shí)間段對應(yīng)的第二時(shí)長閾值。

具體地，網(wǎng)關(guān)設(shè)備在對第二時(shí)長閾值進(jìn)行調(diào)整時(shí)，可以直接將該子時(shí)間段對應(yīng)的原第二時(shí)長閾值直接調(diào)整為該平均值，也可以將該平均值乘以一個(gè)系數(shù)后作為該子時(shí)間段對應(yīng)的調(diào)整后的第二時(shí)長閾值，其中，該系數(shù)的具體取值可以根據(jù)實(shí)際實(shí)施時(shí)的網(wǎng)絡(luò)時(shí)延進(jìn)行設(shè)置。

也就是說，在該數(shù)目小于該第一閾值時(shí)，該網(wǎng)關(guān)設(shè)備即認(rèn)為該服務(wù)器未受到拒絕服務(wù)攻擊，此時(shí)，該網(wǎng)關(guān)設(shè)備可以利用在該預(yù)設(shè)時(shí)間段內(nèi)的響應(yīng)時(shí)長，調(diào)整該第一時(shí)長閾值，即該第一時(shí)長閾值在被初始設(shè)置后，并非保持不變，而是在對拒絕服務(wù)攻擊進(jìn)行檢測的過程中被動態(tài)調(diào)整的，從而使得該第一時(shí)長閾值設(shè)置更合理。

需要說明的是，圖7所示步驟只是舉例說明，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本申請并不受所描述的動作順序的限制，其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動作并不一定是本申請實(shí)施例所必須的。

下面以特征信息為預(yù)設(shè)時(shí)間段內(nèi)，來自于服務(wù)器的請求失敗消息的數(shù)目為例，對本申請實(shí)施例提供的一種檢測拒絕服務(wù)攻擊的方法進(jìn)行詳細(xì)說明。

具體地，網(wǎng)關(guān)設(shè)備在預(yù)設(shè)時(shí)間段內(nèi)，計(jì)算接收到來自于服務(wù)器的請求失敗消息的數(shù)目，若所述數(shù)目不小于第二閾值，則確定所述服務(wù)器受到拒絕服務(wù)攻擊。

其中，該請求失敗消息可以是服務(wù)器對不同客戶端發(fā)送的資源訪問請求消 息進(jìn)行響應(yīng)發(fā)送至該網(wǎng)關(guān)設(shè)備的。

示例地，當(dāng)該服務(wù)器為Web服務(wù)器時(shí)，對于無法響應(yīng)的客戶端發(fā)送的資源訪問請求消息，該Web服務(wù)器會向該網(wǎng)關(guān)設(shè)備發(fā)送503狀態(tài)碼。503狀態(tài)碼是服務(wù)器出錯(cuò)的一種返回狀態(tài)，表明服務(wù)器由于維護(hù)或者過載無法處理請求消息，也就是說，該請求失敗消息可以是503狀態(tài)碼。

由于服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，該服務(wù)器忙于處理這些突增請求而無法正常響應(yīng)合法用戶請求，其發(fā)送的請求失敗消息必然會增加，由于服務(wù)器受到拒絕服務(wù)攻擊時(shí)，服務(wù)器的總流量或者發(fā)包速率不一定快速增加，因此，相比現(xiàn)有技術(shù)通過檢測服務(wù)器總的流量或者發(fā)包速率判斷是否受到拒絕服務(wù)攻擊，上述方案提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

下面對網(wǎng)關(guān)設(shè)備在確定服務(wù)器受到拒絕服務(wù)攻擊后，進(jìn)行防護(hù)的方法進(jìn)行簡單介紹，包括：

S801、該網(wǎng)關(guān)設(shè)備向該服務(wù)器發(fā)送關(guān)閉服務(wù)消息，該關(guān)閉服務(wù)消息用于指示該服務(wù)器關(guān)閉與客戶端的連接。

值的說明的是，若該服務(wù)器為Web服務(wù)器，則該關(guān)閉服務(wù)消息可以是傳輸控制協(xié)議(英文全稱：Transmission Control Protocol，簡稱：TCP)中的終止FIN消息或者重置RST消息，該服務(wù)器在收到FIN消息或者RST消息后，關(guān)閉與客戶端的連接。

S802、該網(wǎng)關(guān)設(shè)備接收客戶端發(fā)送的攜帶第一URL的第一資源訪問請求消息。

需要說明的是，為了描述方便，圖8僅示出了一個(gè)客戶端，但是本領(lǐng)域的技術(shù)人員應(yīng)該理解到，圖8示出的客戶端可以表示與服務(wù)器連接的任一客戶端。

S803、該網(wǎng)關(guān)設(shè)備根據(jù)該第一資源訪問請求消息攜帶的客戶端標(biāo)識確定該客戶端是否處于白名單內(nèi)。

具體地，若該白名單內(nèi)包括該客戶端的標(biāo)識，則執(zhí)行步驟S804，若該白名單內(nèi)不包括該客戶端的標(biāo)識，則執(zhí)行步驟S805及其后續(xù)步驟。

S804、該網(wǎng)關(guān)設(shè)備將該第一資源訪問請求消息發(fā)送至該服務(wù)器。

S805、該網(wǎng)關(guān)設(shè)備向該客戶端發(fā)送驗(yàn)證指示消息。

S806、該網(wǎng)關(guān)設(shè)備接收該客戶端根據(jù)該驗(yàn)證指示消息發(fā)送的驗(yàn)證請求消息。

S807、該網(wǎng)關(guān)設(shè)備根據(jù)該驗(yàn)證請求消息對該客戶端進(jìn)行驗(yàn)證通過后，將該客戶端加入該白名單。

S808、該網(wǎng)關(guān)設(shè)備向該客戶端發(fā)送重定向報(bào)文，該重定向報(bào)文包括第二URL。

值的說明的是，若該服務(wù)器為Web服務(wù)器，則該Web服務(wù)器在接收到網(wǎng)關(guān)設(shè)備在步驟S801發(fā)送的關(guān)閉服務(wù)消息后，可以將該第一URL的網(wǎng)頁轉(zhuǎn)移到該第二URL，以避免攻擊者繼續(xù)以第一URL發(fā)起的攻擊。在此情況下，該重定向報(bào)文可以包括301狀態(tài)碼以及該第二URL，該301狀態(tài)碼用于表示本網(wǎng)頁永久性轉(zhuǎn)移到該第二URL。

S809、該網(wǎng)關(guān)設(shè)備接收該客戶端發(fā)送的第二資源訪問請求消息，該第二資源訪問請求消息包括該第二URL。

S810、該網(wǎng)關(guān)設(shè)備將該第二資源訪問請求消息發(fā)送至該服務(wù)器。

具體地，網(wǎng)關(guān)設(shè)備在確定服務(wù)器受到拒絕服務(wù)攻擊后，對請求訪問服務(wù)器的客戶端進(jìn)行驗(yàn)證，并只將通過驗(yàn)證的處于白名單內(nèi)的客戶端發(fā)送的資源訪問請求消息發(fā)送至服務(wù)器，避免了未通過驗(yàn)證的客戶端對服務(wù)器可能進(jìn)行的拒絕服務(wù)攻擊。

本申請實(shí)施例還提供一種網(wǎng)關(guān)設(shè)備90，用于實(shí)施上述方法實(shí)施例所示的檢測拒絕服務(wù)攻擊的方法，如圖9所示，該網(wǎng)關(guān)設(shè)備90包括：

接收單元91，用于接收服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息。

其中，該響應(yīng)消息用于對來自客戶端的基于應(yīng)用層協(xié)議的資源訪問請求消息進(jìn)行響應(yīng)，該資源訪問請求消息攜帶該服務(wù)器提供的資源的統(tǒng)一資源定位符URL。

獲取單元92，用于獲取該接收單元91接收到的該響應(yīng)消息的特征信息。

確定單元93，用于根據(jù)該獲取單元92獲取到的該特征信息確定該服務(wù)器是 否受到拒絕服務(wù)攻擊。

采用上述網(wǎng)關(guān)設(shè)備，該網(wǎng)關(guān)設(shè)備是基于應(yīng)用層服務(wù)質(zhì)量來確定服務(wù)器是否受到拒絕服務(wù)攻擊的，值得說明的是，所述服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息的特征信息即可表明應(yīng)用層的服務(wù)質(zhì)量，例如，服務(wù)器對訪問同一URL的資源訪問請求消息的響應(yīng)時(shí)長，或者，在預(yù)設(shè)時(shí)間段內(nèi)，來自于所述服務(wù)器的請求失敗消息。由于服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，其應(yīng)用層的服務(wù)質(zhì)量必然發(fā)生變化，并且服務(wù)器受到的拒絕服務(wù)攻擊與應(yīng)用層的服務(wù)質(zhì)量之間的相關(guān)性，強(qiáng)于服務(wù)器受到的拒絕服務(wù)攻擊與傳輸層的流量之間的相關(guān)性。因此，相對于現(xiàn)有技術(shù)基于傳輸層的流量檢測來確定服務(wù)器是否受到拒絕服務(wù)攻擊，本申請?zhí)峁┑木W(wǎng)關(guān)設(shè)備基于應(yīng)用層的服務(wù)質(zhì)量來確定服務(wù)器是否受到拒絕服務(wù)攻擊提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

可選地，該特征信息為響應(yīng)時(shí)長，該獲取單元92具體用于，確定在預(yù)設(shè)時(shí)間段內(nèi)，該服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長并記錄；該確定單元93具體用于，確定該預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目，并在該數(shù)目不小于第一閾值時(shí)，確定該服務(wù)器受到拒絕服務(wù)攻擊。

其中，所述第一時(shí)長閾值的初始設(shè)置是在確保服務(wù)器不會受到拒絕服務(wù)攻擊的場景下進(jìn)行的，所述第一閾值可以根據(jù)實(shí)際應(yīng)用預(yù)先進(jìn)行設(shè)置。

可選地，該獲取單元92還用于，在該預(yù)設(shè)時(shí)間段內(nèi)，針對訪問同一個(gè)URL的每條資源訪問請求消息，執(zhí)行：

記錄接收到該資源訪問請求消息的第一時(shí)刻，并將該資源訪問請求消息發(fā)送至該服務(wù)器；記錄接收到該服務(wù)器用于對該資源訪問請求消息進(jìn)行響應(yīng)而發(fā)送的響應(yīng)消息的第二時(shí)刻；根據(jù)該第一時(shí)刻以及該第二時(shí)刻，確定該服務(wù)器對該資源訪問請求消息的響應(yīng)時(shí)長。

可選地，該預(yù)設(shè)時(shí)間段包括順序連接且互不重合的至少兩個(gè)子時(shí)間段；該獲取單元92還用于，針對訪問同一個(gè)URL的每條資源訪問請求消息，該網(wǎng)關(guān) 設(shè)備記錄接收到該資源訪問請求消息的時(shí)刻與該服務(wù)器對該資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長的對應(yīng)關(guān)系；該確定單元93具體用于，針對該預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

從預(yù)先存儲的子時(shí)間段與第二時(shí)長閾值的對應(yīng)關(guān)系中，查找到該子時(shí)間段對應(yīng)的第二時(shí)長閾值；根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，確定在該子時(shí)間段內(nèi)接收到的所有資源訪問請求消息中，響應(yīng)時(shí)長超過該第二時(shí)長閾值的訪問同一URL的資源訪問請求消息的數(shù)目；

該確定單元93還用于，將響應(yīng)時(shí)長超過各子時(shí)間段對應(yīng)的第二時(shí)長閾值的訪問同一URL的資源訪問請求消息的數(shù)目進(jìn)行求和，將求和的結(jié)果作為該預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)時(shí)長超過該第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目。

值的說明的是，服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，服務(wù)器針對發(fā)起攻擊的客戶端訪問URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長必然會快速增加。這樣，由于服務(wù)器受到拒絕服務(wù)攻擊時(shí)，服務(wù)器的總流量或者發(fā)包速率不一定快速增加，因此，相比現(xiàn)有技術(shù)通過檢測服務(wù)器總的流量或者發(fā)包速率判斷是否受到拒絕服務(wù)攻擊，上述方案提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

可選地，該網(wǎng)關(guān)設(shè)備90還包括調(diào)整單元94，用于在該數(shù)目小于該第一閾值時(shí)，針對該預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，計(jì)算該子時(shí)間段內(nèi)接收到的所有資源訪問請求消息的響應(yīng)時(shí)長的平均值；根據(jù)該平均值調(diào)整該子時(shí)間段對應(yīng)的第二時(shí)長閾值。

也就是說，在所述數(shù)目小于所述第一閾值時(shí)，所述網(wǎng)關(guān)設(shè)備即認(rèn)為所述服務(wù)器未受到拒絕服務(wù)攻擊，此時(shí)，所述網(wǎng)關(guān)設(shè)備可以利用在所述預(yù)設(shè)時(shí)間段內(nèi)的響應(yīng)時(shí)長，調(diào)整所述第一時(shí)長閾值，即所述第一時(shí)長閾值在被初始設(shè)置后，并非保持不變，而是在對拒絕服務(wù)攻擊進(jìn)行檢測的過程中被動態(tài)調(diào)整的，從而使得所述第一時(shí)長閾值設(shè)置更合理。

可選地，該響應(yīng)消息是來自于該服務(wù)器的請求失敗消息，該特征信息為預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)消息的數(shù)目；該獲取單元92具體用于，在該預(yù)設(shè)時(shí)間段內(nèi)，計(jì)算接收到來自于該服務(wù)器的請求失敗消息的數(shù)目；該確定單元93具體用于，若該數(shù)目不小于第二閾值，則確定該服務(wù)器受到拒絕服務(wù)攻擊。

值的說明的是，服務(wù)器在受到拒絕服務(wù)攻擊時(shí)，所述服務(wù)器忙于處理這些突增請求而無法正常響應(yīng)合法用戶發(fā)送的資源訪問請求消息，在此種情況下，服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的請求失敗消息必然會快速增加，由于服務(wù)器受到拒絕服務(wù)攻擊時(shí)，服務(wù)器的總流量或者發(fā)包速率不一定快速增加，因此，相比現(xiàn)有技術(shù)通過檢測服務(wù)器總的流量或者發(fā)包速率判斷是否受到拒絕服務(wù)攻擊，上述方案提高了對拒絕服務(wù)攻擊進(jìn)行檢測的精確度。

另外，以上對網(wǎng)關(guān)設(shè)備的單元?jiǎng)澐?，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，并且，各單元具體的物理實(shí)現(xiàn)方式本申請不作限定，例如，在具體實(shí)施過程中，該接收單元91可以是一接收機(jī)，該獲取單元92可以是一運(yùn)算器，該確定單元93可以是中央處理器，本領(lǐng)域的技術(shù)人員通過合理的分析推理能夠想到的其他實(shí)現(xiàn)方式也屬于本申請的保護(hù)范圍之內(nèi)。

所屬本領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的網(wǎng)關(guān)設(shè)備的具體工作過程，可以參考前述方法實(shí)施例中的對應(yīng)過程，在此不再贅述。

本申請實(shí)施例提供又一種網(wǎng)關(guān)設(shè)備10，如圖10所示，該網(wǎng)關(guān)設(shè)備10包括：

處理器(processor)101、發(fā)射機(jī)(Communications Interface)102、接收機(jī)103、存儲器(memory)104和通信總線105；其中，所述處理器101、所述發(fā)射機(jī)102、所述接收機(jī)103和所述存儲器104通過所述通信總線105完成相互間的通信。

處理器101可能是一個(gè)多核中央處理器CPU，或者是特定集成電路ASIC(Application Specific Integrated Circuit)，或者是被配置成實(shí)施本申請實(shí)施例的一個(gè)或多個(gè)集成電路。

存儲器104用于存放程序代碼，所述程序代碼包括計(jì)算機(jī)操作指令和網(wǎng)絡(luò)流圖。存儲器104可能包含高速RAM存儲器，也可能還包括非易失性存儲器(non-volatile memory)，例如至少一個(gè)磁盤存儲器。存儲器104也可以是存儲器陣列。存儲器104還可能被分塊，并且所述塊可按一定的規(guī)則組合成虛擬卷。

所述發(fā)射機(jī)102和所述接收機(jī)103，用于實(shí)現(xiàn)這些裝置之間的連接通信。

所述處理器101用于執(zhí)行所述存儲器104中的程序代碼，以實(shí)現(xiàn)以下操作：

接收服務(wù)器發(fā)送的基于應(yīng)用層協(xié)議的響應(yīng)消息；所述響應(yīng)消息用于對來自于客戶端的基于應(yīng)用層協(xié)議的資源訪問請求消息進(jìn)行響應(yīng)，所述資源訪問請求消息攜帶所述服務(wù)器提供的資源的統(tǒng)一資源定位符URL；

獲取所述響應(yīng)消息的特征信息；

根據(jù)所述特征信息確定所述服務(wù)器是否受到拒絕服務(wù)攻擊。

可選地，所述特征信息為響應(yīng)時(shí)長；

所述獲取所述響應(yīng)報(bào)文的特征信息，包括：

確定在預(yù)設(shè)時(shí)間段內(nèi)，所述服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長并記錄；

所述根據(jù)所述特征信息確定所述服務(wù)器是否受到拒絕服務(wù)攻擊，包括：

確定所述預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一個(gè)URL的資源訪問請求消息的數(shù)目；

若所述數(shù)目不小于第一閾值，則確定所述服務(wù)器受到拒絕服務(wù)攻擊。

可選地，所述確定在預(yù)設(shè)時(shí)間段內(nèi)，所述服務(wù)器對訪問同一個(gè)URL的資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長，包括：

在所述預(yù)設(shè)時(shí)間段內(nèi)，針對訪問同一個(gè)URL的每條資源訪問請求消息，執(zhí)行：

記錄接收到所述資源訪問請求消息的第一時(shí)刻，并將所述資源訪問請求消息發(fā)送至所述服務(wù)器；

記錄接收到所述服務(wù)器用于對所述資源訪問請求消息進(jìn)行響應(yīng)而發(fā)送的響 應(yīng)消息的第二時(shí)刻；

根據(jù)所述第一時(shí)刻以及所述第二時(shí)刻，確定所述服務(wù)器對所述資源訪問請求消息的響應(yīng)時(shí)長。

可選地，所述預(yù)設(shè)時(shí)間段包括順序連接且互不重合的至少兩個(gè)子時(shí)間段；

所述確定在預(yù)設(shè)時(shí)間段內(nèi)，服務(wù)器對訪問同一個(gè)URL的每條資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長并記錄，所述操作還包括：

針對訪問同一個(gè)URL的每條資源訪問請求消息，所述網(wǎng)關(guān)設(shè)備記錄接收到所述資源訪問請求消息的時(shí)刻與所述服務(wù)器對所述資源訪問請求消息進(jìn)行響應(yīng)的響應(yīng)時(shí)長的對應(yīng)關(guān)系；

所述確定所述預(yù)設(shè)時(shí)間段內(nèi)，響應(yīng)時(shí)長超過第一時(shí)長閾值的訪問同一URL的資源訪問請求消息的數(shù)目，包括：

針對所述預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

從預(yù)先存儲的子時(shí)間段與第二時(shí)長閾值的對應(yīng)關(guān)系中，查找到所述子時(shí)間段對應(yīng)的第二時(shí)長閾值；

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，確定在所述子時(shí)間段內(nèi)接收到的所有資源訪問請求消息中，響應(yīng)時(shí)長超過所述第二時(shí)長閾值的訪問同一URL的資源訪問請求消息的數(shù)目；

將響應(yīng)時(shí)長超過各子時(shí)間段對應(yīng)的第二時(shí)長閾值的訪問同一URL的資源訪問請求消息的數(shù)目進(jìn)行求和，將求和的結(jié)果作為所述預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)時(shí)長超過所述第一時(shí)長閾值的訪問同一URL的資源訪問請求消息的數(shù)目。

可選地，所述操作還包括：

若所述數(shù)目小于所述第一閾值，針對所述預(yù)設(shè)時(shí)間段中包括的每個(gè)子時(shí)間段，執(zhí)行：

根據(jù)記錄的接收到資源訪問請求消息的時(shí)刻與響應(yīng)時(shí)長的對應(yīng)關(guān)系，計(jì)算所述子時(shí)間段內(nèi)接收到的所有資源訪問請求消息的響應(yīng)時(shí)長的平均值；

根據(jù)所述平均值調(diào)整所述子時(shí)間段對應(yīng)的第二時(shí)長閾值。

可選地，所述響應(yīng)消息是來自于所述服務(wù)器的請求失敗消息，所述特征信息為預(yù)設(shè)時(shí)間段內(nèi)響應(yīng)消息的數(shù)目；

所述獲取所述響應(yīng)消息的特征信息，包括：

在所述預(yù)設(shè)時(shí)間段內(nèi)，計(jì)算接收到來自于所述服務(wù)器的請求失敗消息的數(shù)目；

所述根據(jù)所述特征信息確定所述服務(wù)器是否受到拒絕服務(wù)攻擊，包括：

若所述數(shù)目不小于第二閾值，則確定所述服務(wù)器受到拒絕服務(wù)攻擊。

在本申請所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的系統(tǒng)，裝置和方法，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本申請各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。

上述以軟件功能單元的形式實(shí)現(xiàn)的集成的單元，可以存儲在一個(gè)計(jì)算機(jī)可讀取存儲介質(zhì)中。上述軟件功能單元存儲在一個(gè)存儲介質(zhì)中，包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請各個(gè)實(shí)施例所述方法的部分步驟。而前述的存儲介質(zhì)包括：U盤、移動 硬盤、只讀存儲器(英文全稱：Read-Only Memory，簡稱：ROM)、隨機(jī)存取存儲器(英文全稱：Random Access Memory，簡稱：RAM)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述，僅為本申請的具體實(shí)施方式，但本申請的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本申請揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本申請的保護(hù)范圍之內(nèi)。因此，本申請的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。